HCIE【4】交换知识（MAC地址表、端口安全、STP生成树）

@TOC

一、MAC地址表

集线器进化到交换机：
1、接口+内存+IO+CUP+软件 通用式基本思路，然后实现软交换，通过内存方式避免数据的冲突
2、进化到第三代，是用矩阵芯片，内置矩阵算法

两套表

1、MAC地址表：内存中存放
2、CAM表：CAM芯片，非常快，做二元运算（要么匹配，要么不匹配）

MAC地址表的组成

• 动态表项
  由接口通过报文中的源MAC地址学习获得，表项可老化，默认老化时间300秒
  在系统复位，接口板热插拔或接口板复位后，动态表项会丢失
• 静态表项
  由用户手工配置，并下发到各接口板，表项不可老化
  在系统复位、接口板热插拔或接口复位后，保存的表项不会丢失
• 黑洞表项
  由用户手工配置，并下发到各接口板，表项不可老化
  配置黑洞MAC地址后，源MAC地址或目的MAC地址是该Mac的报文将会丢弃

未知单播帧洪泛：有一个MAC地址，MAC地址表没有匹配到，就会未知单播帧洪泛

洪泛的三种帧：
• 广播帧
• 组播帧
• 未知单播帧

MAC地址表配置
• 配置静态MAC表项
• 配置黑洞MAC表项
• 配置动态MAC表项的老化时间

二、端口安全

MAC表的安全问题
• 伪造大量的垃圾MAC
• 伪造别人的MAC

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC），阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。
安全静态MAC地址分类

免费ARP
设备主动使用自己的IP地址作为目的IP地址发送ARP请求，此种方式称为免费ARP

免费ARP的作用
a. 检测IP地址是否冲突
b. 减少ARP的洪泛
c. 减少数据的牺牲
d. 在VRRP备份组中用来通过主备发送变换

三、STP生成树

生成树协议有好几种，STP是最早的，常用的有RSTP（快速生成树）和MSTP（多生成树）

STP

1.交换机角色

• 根交换机
• 非根交换机

2.端口角色

• 根端口
• 指定端口
• 非指定端口

3.根交换机选举

• 参数：BID = 优先级(优先级+系统ID) +MAC
• 规则：小优，先优先级(4096的倍数) 然后MAC

4.根端口选举 .

• 参数：BPDU的字段
  1）COST
  2）BID
  3）PID
• 规则：先比较收到BPDU的cost值（小优），接着比较对端设备BID（小优），再比较对端设备的PID（小优），最后比较本地PID（小优）

PID=端口ID 接口优先级（0-240，步长16，默认128）

• List item

5.指定端口选举
参数和规则同根端口

6.非指定端口
当以上所有角色全部选举完成后，剩余没有角色的接口为非指定；

7.接口状态

• down：没有BPDU收发，一旦可以进行BPDU收发进入下一状态
• 侦听：强制15s；所有交换机进行BPDU收发，选举所有角色；接口角色为非指定端口直接进入阻塞状态；若为指定端口和根端口进入下一状态；
• 学习：强制15s； 指定端口和根端口学习所有接口连接设备的MAC地址，生成MAC表；之后进入下一状态；
• 转发：指定端口和根端口进入，可以转发用户报文；
• 阻塞：逻辑阻塞；

理清选举内在逻辑关系，就很容易记住了，侦听和学习状态的15秒是端口看自己丢出的BPDU还回来不，若自己发出去的又回到自己这，成环了就会把自己阻塞，避免环路。

RSTP 快速生成树

cisco的RSTP 基于vlan的快速生成树 ，一个vlan一棵树
公有RSTP（802.1w），整个交换网络一棵树

RSTP的优化
RSTP的优化一 (省了20s)
取消了计时器，而是在一个状态工作完成后，直接进入下一状态；
RSTP和STP的阻塞端口的区别：RSTP的可以收BPDU，STP的不接收，也不转发。

RSTP的优化二(省了侦听状态的15s)
阻塞口一切为二，看它是被根端口干掉还是指定端口干掉

• 被根端口干掉它叫替换端口
• 被指定端口干掉它就叫备份端口

若根端口或指定端口down掉了相应备份就直接上，这样一来就把选举的时间省掉了

RSTP的优化三(省了学习状态的15s)——P/A机制

MSTP 多生成树

MSTP对STP和RSTP进行改造，继承了快速生成树的基础，华为设备默认使用该协议
MSTP把一个交换网络划分为多个域，每个域内形成多颗树

MSTP基本概念

• MST域（MST Region）
• MSTI
• VLAN映射表
• CST、IST、SST、CIST
• 域根
• 总根
• 主桥
• 端口角色
• 端口状态

下面分别解释

MST由交换网络中的多台交换设备以及它们间的网段所构成。
MSTI是MSTI是MSTI域下实例，一个MST域下可以有多个MSTI。
VLAN映射表描述了VLAN和MSTI之间的映射关系。
公共生成树CST 是连接交换网络内所有MST域的一棵生成树。
内部生成树IST 是各MST域内的一棵生成树。
SST 是不支持MST的区域，运行STP或RSTP的交换设备只能属于一 个生成树; MST域中只有一个交换设备,这个交换设备构成单生成树。
CIST：所有MST域的IST加上CST就构成一棵完整的生成树,即CIST。
域根( Regional Root )分为IST域根和MSTI域根，在MST域中IST生成树中距离总根最近的交换设备是IST域根。一个MST域内可以生成多棵生成树,每棵生成树都称为一个MSTI。
总根是CIST 的根桥
主桥( Master Bridge )也就是IST Master ,它是域内距离总根最近的交换设备。
端口角色：同RSTP , MSTP中定义了根端口、指定端口、Alternate端口、 Backup端口和边缘端口。

端口选举规则都是延用快速生成树的

生成树的三大缺点
1、并不能充分利用链路
2、速度问题，选举总会有时间消耗
3、无法做到选路最优，只能做到相对优

所以生成树不太适合大型数据中心的交换，因为大型企业网很多横向流量，横向流量要求快速到达目标，要选路优，